A Defender identitásészlelési kizárásainak konfigurálása a Microsoft Defender XDR-ben
Ez a cikk bemutatja, hogyan konfigurálhatja a Microsoft Defender identitásészlelési kizárásait a Microsoft Defender XDR-ben.
A Microsoft Defender for Identity lehetővé teszi bizonyos IP-címek, számítógépek, tartományok vagy felhasználók kizárását számos észlelésből.
A DNS-felderítési riasztást például aktiválhatja egy biztonsági szkenner, amely a DNS-t használja vizsgálati mechanizmusként. A kizárások létrehozásával a Defender for Identity figyelmen kívül hagyhatja az ilyen képolvasókat, és csökkentheti a hamis pozitív értékeket.
Feljegyzés
Azt javasoljuk, hogy a kizárások helyett hangoljon egy riasztást . A riasztás-finomhangolási szabályok részletesebb feltételeket teszik lehetővé, mint a kizárások, és lehetővé teszik a hangolt riasztások áttekintését.
Feljegyzés
A leggyakrabban megnyitott DNS-riasztásokon keresztüli gyanús kommunikációval rendelkező tartományok közül azokat a tartományokat figyeltük meg, amelyeket az ügyfelek leginkább kizártak a riasztásból. Ezek a tartományok alapértelmezés szerint fel vannak véve a kizárási listára, de egyszerűen eltávolíthatja őket.
Észlelési kizárások hozzáadása
A Microsoft Defender XDR-ben lépjen a Gépház, majd az Identitások elemre.
Ezután a bal oldali menüben megjelenik a Kizárt entitások elem.
Ezután két módszerrel állíthatja be a kizárásokat: a kizárásokat az észlelési szabály és a globális kizárt entitások alapján.
Kizárások észlelési szabály alapján
A bal oldali menüben válassza a Kizárások észlelési szabály alapján lehetőséget. Megjelenik az észlelési szabályok listája.
Minden konfigurálni kívánt észlelés esetében hajtsa végre a következő lépéseket:
Válassza ki a szabályt. Az észlelések kereséséhez használja a keresősávot. A kijelölést követően megnyílik egy ablaktábla az észlelési szabály részleteivel.
Kizárás hozzáadásához válassza a Kizárt entitások gombot, majd válassza ki a kizárás típusát. Minden szabályhoz különböző kizárt entitások érhetők el. Ezek közé tartoznak a felhasználók, az eszközök, a tartományok és az IP-címek. Ebben a példában az eszközök kizárása és az IP-címek kizárása lehetőségek közül választhat.
A kizárási típus kiválasztása után hozzáadhatja a kizárást. A megnyíló panelen kattintson a gombra a + kizárás hozzáadásához.
Ezután adja hozzá a kizárni kívánt entitást. Válassza a + Hozzáadás lehetőséget az entitás listához való hozzáadásához.
Ezután válassza az IP-címek kizárása (ebben a példában) lehetőséget a kizárás befejezéséhez.
A kizárások hozzáadása után exportálhatja a listát, vagy eltávolíthatja a kizárásokat a Kizárt entitások gombra való visszatéréssel. Ebben a példában visszatértünk az eszközök kizárásához. A lista exportálásához válassza a lefelé mutató nyílgombot.
Kizárás törléséhez válassza ki a kizárást, és válassza a kuka ikont.
Globális kizárt entitások
Mostantól globális kizárt entitások kizárásait is konfigurálhatja. A globális kizárások lehetővé teszik bizonyos entitások (IP-címek, alhálózatok, eszközök vagy tartományok) definiálását, amelyek kizárhatók a Defender for Identity összes észlelése során. Így például, ha kizár egy eszközt, az csak azokra az észlelésekre vonatkozik, amelyek az észlelés részeként eszközazonosítással rendelkeznek.
A bal oldali menüben válassza a Globális kizárt entitások lehetőséget. Látni fogja az entitások kizárható kategóriáit.
Válasszon egy kizárási típust. Ebben a példában a Tartományok kizárása lehetőséget választottuk.
Ekkor megnyílik egy panel, ahol hozzáadhat egy kizárandó tartományt. Adja hozzá a kizárni kívánt tartományt.
A tartomány hozzá lesz adva a listához. Válassza a Tartomány kizárása lehetőséget a kizárás befejezéséhez.
Ezután megjelenik a tartomány az összes észlelési szabályból kizárandó entitások listájában. A lista exportálásához vagy az entitások eltávolításához jelölje ki őket, és válassza az Eltávolítás gombot.
